Решение по искане с рег.№ 10245/ 26.10.2010 г.

Комисията за защита на личните данни (КЗЛД), в състав: председател Венета Шопова и членове : Красимир Димитров, Валентин Енев и Мария Матева, на редовно заседание, проведено на 16.12.2010 год. (Протокол № 42),разгледа искане с рег.№10245/26.10.2010г. от“Ай Ти Си И” ООД за получаване на разрешение на основание чл. 36а, ал. 4, т.1 от Закона за защита на личните данни (ЗЗЛД) за трансфер на лични данни към “Пиърсън Вю” (“PearsonVUE”),дружество от “Ен Си Ес Пиърсън Инк.”( (“NCSPearsonInc.”), САЩ и към “Градюейт Мениджмънт Адмишън Кансъл” – “ГМАК” (“GraduateManagementAdmissionCouncil” -“GMAC”), САЩ. Искането е подадено чрез управителя и законен представител на дружеството Н.Г.П., от което става видно, че лицето, подало искането за трансфер на данни може да представлява дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане за трансфер.

Съгласно искането получателите на лични данни ще бъдат:

1. “Пиърсън Вю”(“PearsonVUE”), дъщерно дружество на корпорацията “Ен Си Ес Пиърсън Инк.” (“NCSPearsonInc.”), регистрирана в САЩ на 28.03.1962 г.(“NationalComputerSystemsInc.”), приела настоящото си име на 01.11.2000г., съгласно приложени документи от Министерството на външните работи – Минесота, САЩ. Едноличният собственик на “Ен Си Ес Пиърсън Инк.( “NCSPearsonInc.”) е Пиърсън плс (Pearsonplc), английско дружество със седалище във Великобритания. “Пиърсън Вю” (“PearsonVUE”) е глобален лидер в електронните тествания за информационни технологии, академични, правителствени и професионални клиенти, осигурявайки пълен комплект услуги от разработване на тестове до управление на бази данни. В момента обслужва 162 държави и ръководи над 4400 Тест центрове. “Ен Си Ес Пиърсън Инк.( “NCSPearsonInc.”) е в договорни отношения за провеждането на компютърно базирани тестове, чрез своето дъщерно дружество “Пиърсън Вю” (“PearsonVUE”). Тестовете се провеждат от името на спонсори – сертифициращи организации, лицензирани институции, организации за академични приемни изпити, какъвто в случая е теста “GMAТ”. По силата на договор между “Пиърсън Вю” и „ГМАК” (“GMAC”) от 28.07.2004г., “Пиърсън Вю” провежда и администрира различни компютърно базирани електронни тестове, в това число “GMAT”, като изпълнява ролята на обработващ данните в световен мащаб за теста “GMAT”.Данните за физическите лица, които се явяват на теста “GMAТ” включват:регистрация на теста, провеждане на теста и резултати от теста. Дружеството има политика за неприкосновеност, която е в сила от 11.01.2008г.

2. “Градюейт Мениджмънт Адмишън Кансъл – ГМАК” (“GraduateManagementAdmissionCouncil” – наричана за краткост “GMAC”), САЩ – юридическо лице с нестопанска цел, имащо за цел да осигури достъп до висше бизнес образование и да подпомага бизнес университетите на световно равнище. “ ГМАК” се състои от представители на водещи бизнес университети, като предлага в целия свят разнообразни програми, продукти и услуги във връзка с обучението. “ ГМАК” притежава и администрира “Градюейт Мениджмънт Адмишън Тест – ГМАТ” (“GraduateManagementAdmissionTestl” – наричана за краткост “GMAT”), най-разпространения компютъризиран тест, използван в процеса по прием на студенти във висши бизнес учебни заведения по целия свят.

По смисъла на чл.1, ал.4, т.3 от Закона за защита на личните данни, администраторът на лични данни, когато за целите на обработването, използва средства разположени на българска територия, трябва да посочи представител, установен на територията на Република България. На това основание е сключен Договор за местно представителство (Република България ) на 02.06.2008г. между “Градюейт Мениджмънт Адмишън Кансъл– “ГМАК” (“GraduateManagementAdmissionCouncil –“GMAC”), САЩ; “Пиърсън Вю”, дъщерно дружество на корпорацията “Ен Си Ес Пиърсън Инк.”, САЩ и “Ай Ти Си И” ООД, България. Съгласно договора дружеството се задължава да провежда изпита “GMAT” и да предоставя свързаните с това услуги по обработка на данните на територията на Република България за теста “GMAT”. В тази връзка, “Ай Ти Си И” ООД се явява местен представител на територията на Република България на “ГМАК”, САЩ. “Пиърсън Вю” чрез своето подразделение “Върчуъл Юнивърсити Ентърпрайзис” (“VirtualUniversityEnterprises”) е сключило Споразумение за провеждане на тестове с “Ай Ти Си И” ООД на 17.01.2001г. Споразумението е изменено на 25.06.2005г., като страни по него са “Пиърсън Вю” и “Ай Ти Си И” ООД.

“Ай Ти Си И” ООД е вписано в Търговския регистър при Агенцията по вписванията с ЕИК 121673816, със седалище и адрес на управление: гр.София, община Столична, район “Лозенец”, бул.”Черни връх” № 44 и предмет на дейност: консултантска дейност и обучение в областта на информационните технологии, проектиране, доставка, инсталация и сервиз на електронно-изчислителна техника, програмни продукти и технологии, интеграция на допълнителни елементи към административно-управленски информационни системи, като SAPR/3, както всяка друга дейност, за която няма законова забрана.

Видно от предоставената информация в искането, трансферът наданни засяга физически лица – кандидати за тест “GMAT. Предмет на трансфер ще бъдат следните категории лични данни, засягащи посочените физически лица: биометрични данни – сканиране папиларното изображение на дланта.Целта, за която личните данни на кандидатите за тест “GMAT” ще бъдат предоставяни са: Образование (компютъризираният тест “GMAT “ се използва за прием на студенти във висши бизнес учебни заведения по целия свят).

При извършената служебна справка в Регистъра на администраторите на лични данни и на водените от тях регистри, поддържан от КЗЛД, се установи, че дружеството е подало заявление за регистрация с вх. № 3206/19.10.2009г. като администратор на лични данни и е вписано в регистъра с идентификационен номер 2357.“Ай Ти Си И” ООД е заявило поддържането на 7 броя регистри(регистър “ССТВ-изпит ГМАТ”, включва видеонаблюдение ). Заявеният в искането трансфер на данни засяга информацията, поддържана в регистър „Биометрични данни – кандидати ГМАТ”, обявен пред Комисията за защита на личните данни с вписването на дружеството като Администратор на лични данни: Биометрични данни – сканиране на папиларното изображение на дланта, като е заявенопредоставяне данни в САЩ.

С писмо рег.№.10245/04.11.2010г. Комисията за защита на личните данни е изискала да бъде предоставена следната допълнителна информация:1.Копие на договор между “Градюейт Мениджмънт Адмишън Кансъл – “ГМАК” (“GraduateManagementAdmissionCouncil” – наричана за краткост “GMAC”), САЩ и “Пиърсън Вю” (“PearsonVUE”), дружество от “Ен Си Ес Пиърсън Инк.( “NCSPearsonInc.”), САЩ, относно възлагане на обработване на данни за теста “GMAТ” на “Пиърсън Вю” (“PearsonVUE”) в световен мащаб; 2. Копие на договор между “Пиърсън Вю” (“PearsonVUE”), САЩ и “Ай Ти Си И” ООД, България, относно провеждането на теста “GMAТ” и предоставянето на свързаните с това услуги по обработка на данните на територията на Република България за теста “GMAТ”; 3. Информация, относно организационните и техническите мерки за защита на данните, във връзка с осъществяването на трансфера; 4. Информация, относно необходимостта при кандидатстване и явяване на тест “GMAТ” да се извършва аудио и видеонаблюдение и сканиране на папиларното изображение на дланта на лицата; 5. Информация, относно получателя на данните, както и правоотношениято, в които се намират “Пиърсън Вю” (“PearsonVUE”), САЩ и“Ен Си Ес Пиърсън Инк.( “NCSPearsonInc.”), САЩ.

В изпълнение на указанията на КЗЛД с писмо с рег. № 10245/29.11.2010г. в Комисията е постъпила допълнителна информация чрез адв. Д.З.Н., пълномощник на управителя на „Ай Ти Си И" ООД. Приложено е пълномощно от Н.Г.П. – управител на дружеството, от което става видно, че лицето подало допълнителната информация към искането за трансфер на данни е упълномощено да представлява дружеството пред Комисията за защита на личните данни, във връзка с конкретното искане за трансфер. Информацията е както следва:

1. Относно предоставяне на копие на договор между “Градюейт Мениджмънт Адмишън Кансъл – “ГМАК” (“GraduateManagementAdmissionCouncil” – наричана за краткост “GMAC”), САЩ и “Пиърсън Вю” (“PearsonVUE”), дружество от “Ен Си Ес Пиърсън Инк.( “NCSPearsonInc.”), САЩ, относно възлагане на обработване на данни за теста “GMAТ” на “Пиърсън Вю” (“PearsonVUE”) в световен мащаб.

Дружеството е предоставило копие на изискания договор, сключен на 28.07.2004г. между “GMAC”, САЩ и “Пиърсън Вю” (“PearsonVUE”), дружество от “Ен Си Ес Пиърсън Инк.( “NCSPearsonInc.”), САЩ, с който “Пиърсън Вю” се задължава да провежда и администрира компютърно базирани електронни тестове, в това число теста “GMAТ”, като изпълнява ролята на обработващ данните в световен мащаб за теста “GMAТ”. Дружеството се задължава да защитава личната информация на кандидатите, през целия срок на договора или до момента, в който имат права и контролвърху тази информация по начин, който да е в съответствие с регистрацията муи във връзка със защитата на личните данни в изпълнение на Решение 2000/520 на Европейската комисия относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩили да изискват от неговите подизпълнителите, в това число Тест Центровете, имащи достъп до лична информация на кандидатите, да са в съответствие с “Политиката за защита на лични данни” на “Пиърсън Вю” . Дружеството е задължено да поддържа всички приемливи от търговска гледна точка физически процедури за сигурност, персонал и оборудване на обектите, където се извършват услугите, необходими с цел достъпа до съоръженията и всички елементи, тестове, лична информация на кандидатите.

2. Относно предоставяне на копие на договор между “Пиърсън Вю” (“PearsonVUE”), САЩ и “Ай Ти Си И” ООД, България, относно провеждането на теста “GMAТ” и предоставянето на свързаните с това услуги по обработка на данните на територията на Република България за теста “GMAТ”.

Дружеството е предоставило копия на:

2.1 Споразумение за провеждане на тестове между подразделение на “Върчуъл Юнивърсити Ентърпрайзис” (“VirtualUniversityEnterprises”) към дъщерно дружество “PearsonVUE” на корпорацията “NCSPearsonInc.”, САЩ и “Ай Ти Си И” ООД (дружеството), България, от 17.01.2001г.

Предмет на сключеното споразумениее предоставяне на услуги по организирането и провеждането на тестове в електронна среда в съответствие с изискванията на “Върчуъл Юнивърсити Ентърпрайзис” . Дружеството гарантира използването на софтуера и приложенията, отговорно управление на своя Център за провеждане на тестове, успешно организиране на тестове в електронна среда и публикуване на резултатите на кандидатите в удобен вид. Дружеството се задължава да осигури подходящо оборудвана сграда, съоръженията и оборудването за провеждане на теста, система за управление на съоръженията, указания за кандидатите, провеждане на теста и всекидневна подкрепа и поддръжка на системата за провеждане на теста, да управлява Тест центъра в съответствие с реда и условията на цитираното споразумение.Дружеството се задължава да следва политиката по конфиденциалността по отношение на: Данните, идентифициращи или описващи кандидатите, резултатите от тестовете на кандидатите и представянето на кандидатите, представлява лична, поверителна информация за кандидата и подлежи на правилата за конфиденциалност за кандидата, спонсора и за “Върчуъл Юнивърсити Ентърпрайзис” (“VirtualUniversityEnterprises”).

2.2Изменение на Споразумението за провеждане на тестове от (17.01.2001г.) между дъщерно дружество “Пиърсън Вю” на корпорацията “Ен Си Ес Пиърсън Инк.”САЩ и “Ай Ти Си И” ООД, България, от 25.06.2005г.

По силата на цитираното по-горе споразумение, дружеството се задължава да създаде и оборудва Тест Център, като той трябва да отговаря на по-големи технологични изисквания на “Пиърсън Вю”, а именно: план-сценарий за инсталиране, специален сървър за провеждане на професионалния тест, поне един USB интерфейс порт, винаги включени след инсталиране и конфигуриране от страна на “ Пиърсън Вю” връзките на софтуерното приложение “Агент за дистанционна поддръжка” към централния сървър на “ Пиърсън Вю”, интернет връзка чрез широколентова връзка с минимална скорост 128 Kbps. Въвеждат се нови изисквания по отношение на оборудването на работните станции за провеждане на изпита, както и задължението за аудио-визуално и биометрично оборудване.

3. Информация, относно организационните и техническите мерки за защита на данните, във връзка с осъществяването на трансфера:

3.1 Договор за обработка на данни, сключен на 28.06.2005г. между страните: “Градюейт Мениджмънт Адмишън Кансъл – ГМАК” (“GraduateManagementAdmissionCouncil” – наричана за краткост “GMAC”), нестопанска организация и “Пиърсън Вю” (“PearsonVUE”), дружество от “Ен Си Ес Пиърсън Инк.( “NCSPearsonInc.”). С договора “Пиърсън Вю” се задължава да извършва различни услуги за “GMAC”, описани в Договора от 28.07.2004г., включително: събиране, поддържане, предаване и предоставяне на други услуги за “обработка на данни” по смисъла на Директива 95/46/ЕО, по отношение на личната информация, получавана от “ГМАК”. Дружеството се задължава да спазва Политиката за конфиденциалност на “ГМАК”, по отношение на всички лични данни и да предоставя на “ГМАК” услуги по обработка на личните данни, само в съответствие с приемливи писмени инструкции от страна на корпорацията, в качеството и на контролиращ данните. “Пиърсън Вю” се задължава да изисква от всички Тест Центрове, независимо дали са негова собственост, филиали или подразделения, докато предоставят услуги, свързани с лични данни, контролирани от “ГМАК”, да уведомяват явяващите се на теста ясно и изрично, по начин, описан в Инструкциите за обработка на данните.Във връзка с това, “Ай Ти Си И” ООД представя образец на “Декларация за информирано съгласие”, чрез която кандидатите, които се явяват на тест “GMAТ”, дават своето изрично съгласие да бъдат обработвани техните лични данни: трите имена, единен граждански номер , факс, телефон, електронен адрес, снимка, професионален опит, образование, включително извършване на аудио и видео наблюдение и сканиране на папиларното изображение на дланта за целите на теста“GMAТ”.

3.2Заповед на управителя на “Ай Ти Си И” ООД, България от 03.02.2007г., с коятое приета Инструкция за въвеждане на механизма на обработване на лични данни, необходимите технически или организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Инструкцията е издадена на основание чл.23, ал.4 от Закона за защита на личните данни и Наредба №1/07.02.2007г. за минимално ниво на технически и организационни мерки и допустимия вид защита на личните данни. Инструкцията имаза цел да регламентира: 1.механизмите за водене, поддържане и защита на регистър “Кандидати изпит ГМАТ”, регистър “Системи ССТВ-изпитГМАТ” и регистър ”Биометрични данни –кандидати ГМАТ, съхраняващи лични данни за лицата, явяващи се на изпит “GMAТ” чрез администратора; 2. задълженията на администратора и лицето по защита на личните данни, имащо достъп до лични данни и работещо под ръководството на администратора; 3. отговорността при неизпълнение на предвидените задължения; 4. необходимите технически и организационни мерки и средства за защита на личните данни на посочените по-горе физически лица от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).

Трансферът на данни, обявен пред Комисията за защита на личните данни, засяга информацията, поддържана в регистър „Биометрични данни – кандидати ГМАТ”. Съгласно инструкцията, данните в регистъра са сканиране на папиларното изображение на дланта. Формите за водене на регистъра са следните: 1. на технически носител; 2. форма и организация за съхранение на личните данни: личните данни на физическите лица се съхраняват на твърд диск в мрежа. Личните данни са организирани във файлове, тип електронна таблица, като се актуализират от администратора ежеседмично. Компютърът е свързан с обществената мрежа, но е със защитен достъп до личните данни. При работа с данните се използват софтуерни продукти по обработка на данните – специален уникален алгоритъм, създаден от “Пиърсън Вю” и “Фуджицу”(производител), представляващ специално устройство; 3. Местонахождение на компютъра-разположен е в специално помещение на работна маса (бюро) за самостоятелна работа на администратора, респективно лицето по защита на личните данни. Помещението се охранява от СОД; 4.Данните се съхраняват 7 дни; 5. Категориите получатели, на които личните данни могат да бъдат разкривани са: физическите лица, за които се отнасят данните; на лица, ако е предвидено в нормативен акт; на лица, обработващи личните данни; на чуждестранни физически или юридически лица извън територията на Република България; на лица по силата на договор – “Пиърсън Вю” ; 6.Данните се събират и обработват с изричното съгласие на физическото лице. Разписани мерки за защита на личните данни от неправомерен достъп: поддържане на антивирусни програми; периодично архивиране на данните; поддържане на копие на информацията на хартиен носител, създадена е система за регистриране на достъпа до личните данни получавани/предавани на технически носител по електронен път, позволяваща идентифицирането на вида данни, датата и времето, изпращащия, вида достъп, бил ли е отказан достъп, как са обработени изпратени/получени данни, както и получателя; системата, отразява информация, относно възстановяване на лични данни и лицето, което ги възстановява, информацията се съхранява най-малко 2г.

4. Информация, относно необходимостта при кандидатстване и явяване на тест “GMAТ” да се извършва аудио и видеонаблюдение и сканиране на папиларното изображение на дланта на лицата:

4.1 Информация, относно получателите на данните и относно необходимостта от извършване на аудио и видеонаблюдение

“ГМАК” е установила задължителни стандарти при провеждането на теста “GMAT” във всички Тест центрове по света. Едно от основните изисквания е при провеждането на теста “GMAT”, да се извършва аудио и видеонаблюдение, с цел да бъдат да бъдат предотвратени измамите и нарушенията (фотографиране на компютърния екран, телефонни обаждания, изпращане на текстови съобщения по телефона и електронната поща и др. ) и да се осигури почтено провеждане на теста, имащ решаващо влияние за прием на кандидатите в престижни висши учебни заведения по света. В същото време аудио и видеонаблюдение, функционира и като проверяващ механизъм, имащ за основна цел провеждането на теста да бъде справедливо, да защита интересите на кандидатите, като намалява риска от несправедлив резултат от теста и предоставя възможността на “ГМАК”, “Пиърсън Вю” и “Ай Ти Си И” ООД да отстранят нарушенията, възникнали при провеждането на теста. Кандидатите за теста “GMAT” са многократно уведомявани и са дали изричното си съгласие да бъде извършено аудио и видеонаблюдение -информационен бюлетин, правила за провеждане на “GMAT, договор към тях и общи условия за провеждането на теста. Също така във всеки център е поставен знак, напомнящ, че кандидатите са обект на аудио и видеонаблюдение. Информацията се записва дигитално. При инцидент, записа се изпраща до “Пиърсън Вю” –отдел”Сигурност” във Великобритания. След преглед на информацията за възникналото нарушение, нарушението може да се докладва и в “ГМАК”, САЩ с цел разследване и повдигане на обвинение на нарушителите.

4.2 Информация, относно сканирането на папиларното изображение на дланта на физическите лица – кандидати по теста “GMAТ”

Основният мотив за сканиране на папиларното изображение на дланта на кандидатите на теста “GMAТ” е от една страна преодоляване и възпрепятстване на всяка форма на измяна и подмяна на кандидатите (наето лице, което се явява вместо друго лице срещу заплащане), а от друга страна-поддържане на доверието на бизнес училищата, в които се осъществява прием след успешно полагане на теста“GMAТ”. След въвеждане през 2006г. на биометрично разпознаване на кандидатите за теста, в Тест центровете не са констатирани случаи на подмяна на кандидати, както това се е случвало преди това.

Вече има практика на компетентните органи по защита на личните данни в други държави, по отношение на събирането на биометрични данни на кандидатите, чрез сканиране на папиларното изображение на дланта при провеждане на теста “GMAТ”. Това са Органа за защита на личните данни в Португалия иНационалната комисия за защита на личните данни и свободи във Франция, които са се произнесли положително по този вид трансфер.

Системата, която се използва включва уникален алгоритъм на създаден от “Пиърсън Вю” и “Фуджицу”(производител), представляващ кодиран и необратим шаблон. Записването се осъществява в ограничена среда, което не оставя скрит образ. Също така, квалифициран квестор трябва да активира четеца автоматично чрез компютър и четецът автоматично се изключва след събиране на данните. Структурата на папиларните изображения веднага се преобразява в кодиран модел. Данните се прехвърлят само в кодирана форма чрез защитени наслоени гнезда от комуникационни записи. Чрез него се предотвратява всяка обратна техническа употреба на данните във всяка друга система за разчитане на папиларни изображения на дланта. Данните се съхраняват между един и седем дни, на локален сървър, след това автоматично се изтриват. Обикновено в рамките на 24 часа от всяка изпитна сесия (до 7 дни) софтуерът на съответния Тест център автоматично препраща кодирания модел на всеки изпитан на “Пиърсън Вю” чрез защитен механизъм на трансмисия. Това се постига чрез “опаковане” на моделите с резултатите на явилия се на теста, след което “опакованите” файлове се изпращат до центъра на данни на “Пиърсън Вю” чрез защитени наслоени гнезда на комуникационни записи, заверени с дигитален сертификат на профила на клиента.

5. Информация, относно получателя на данните, както и правоотношенията, в които се намират “Пиърсън Вю” , САЩ и“Ен Си Ес Пиърсън Инк., САЩ:

Получателите на данните по заявения трансфер са два:

1.“Пиърсън Вю”), като дружеството изпълнява ролята на обработващ данните в световен мащаб за теста “GMAТ”.Съгласно предоставената информация, “Пиърсън Вю” е дружество на“Ен Си Ес Пиърсън Инк., със седалище в САЩ.

2.“Градюейт Мениджмънт Адмишън Кансъл – ГМАК” .Това е юридическо лице с нестопанска цел, регистрирано в САЩ, имащо за цел да осигури достъп до висше бизнес образование и да подпомага бизнес университетите на световно равнище.“ГМАК” притежава и администрира “Градюейт Мениджмънт Адмишън Тест – ГМАТ” , най-разпространения компютъризиран тест, използван в процеса по прием на студенти във висши бизнес учебни заведения по целия свят. Този тест е от основно значение при взимане на решение за прием в такива училища, както и при отпускане на стипендии за обучение. По силата на Основен договор (MasterAgreement) от 28.07.2004г., “ГМАК” е възложило на “Пиърсън Вю” провеждането и администрирането в световен мащаб на тест “GMAT”, включително и обработването на данните, добити при провеждането на теста. Въз основа на този договор и при наличието на изрично съгласие на кандидатите, явяващи се даположат теста, личните данни на кандидатитесе предоставят на около 1800 висши бизнес училища в цял свят, като самият тест се полага над 200000 пъти годишно в 93 държави. Възприето е мнението, че това е най-разпространената и достоверна форма за оценка на знанията и уменията на кандидатите. Тест“GMAT” се администрира в световен мащаб от Тест центрове, опериращи чрез дъщерни дружества на “Пиърсън Вю” или от Тест центрове, ръководени от независимо дружество, какъвто е случая с “Ай Ти Си И” ООД. “Пиърсън Вю” има договор с всяко местно дружество, съгласно който дружествата ръководещи Тест центровете обработват лични данни, включително провеждайки тест “GMAT”. В някои случаи се сключват и тристранни споразумения, какъвто е случая с България. На 02.06.2008г. е сключен Договор за местно представителство (Република България) между “Градюейт Мениджмънт Адмишън Кансъл”– “ГМАК” (“GraduateManagementAdmissionCouncil” –“GMAC”), неправителствена организация в САЩ; “PearsonVUE”, дъщерно дружество на корпорацията “NCSPearsonInc.”, САЩ и от“Ай Ти Си И” ООД, България, с който последното се задължава по силата на договор с “Пиърсън Вю”, сключен на 17.01.2001г.(изменен на 25.06.2005г.), да провежда изпита по тест “GMAТ” и да предоставя свързаните с това услуги по обработка на данните на територията на Република България за теста “GMAТ”. С договора “Градюейт Мениджмънт Адмишън Кансъл – ГМАК” ангажира и определя “Ай Ти Си И” ООД, България за свой местен представител на територията на Република България. В това си качество, дружеството се задължава, от гледна точка на защитата на личните данни: да предоставя на “ГМАК” и другите страни по договора всякакви съобщения, които получава от регулаторни и правителствени органи или други, свързани по друг начин с “ГМАК” или въпроси, касаещи защитата на данните във връзка с “ГМАК" или теста “GMAТ” на територията на Република България, както и да сътрудничи, съгласно основателните изисквания на “ГМАК", при попълване на уведомления, заявления или други подобни документи, свързани със защитата на данните. Договорът е в сила до 31.12.2012г.

“ГМАК” притежава и администрира теста “GMAТ”, във връзка с което се явява контролиращ орган, както по отношение спазването на всички изисквания по провеждането на теста “GMAТ” от “Ай Ти Си И” ООД, България, така и по отношение обработването на данните, което се осъществява от “Пиърсън Вю”, САЩ. Във връзка с това и за изпълнение целите на контролирания достъп (удостоверяване/проверка), е абсолютно необходимо, “ГМАК” да получава данните от проведените тестове. Идентификацията на кандидатите на теста“GMAТ” практически се осъществява чрез метода на биометричното разпознаване. Постига се правилния баланс между предотвратяването на измами и правото на личен живот на кандидатите, като се използват високо защитени биометрични данни „без следа”. Чрез използвания метод се предотвратява всяка обратна техническа употреба на данните във всяка друга система за разчитане папиларни изображения на дланта, независимо в коя част на света се провежда теста. Прехвърлянето на данните до “ГМАК” има за цел и тяхното гарантирано съхранение за период от 5 години, който е равен на периода от време, за който резултатът от теста се счита за валиден. Не на последно място, при констатирано нарушение на изискванията, “ГМАК извършва разследване и повдига обвинение на нарушителя.

Технологията на прехвърлянето на данните се изразява в следното: структурата на сканираното папиларно изображение на дланта се преобразува в кодиран модел, който се „опакова” с резултатите на явилия се на теста, след което данните се прехвърлят в кодирана форма до първия получател – “Пиърсън Вю” (“PearsonVUE”), който е обработващ данните и до втория получател -“Градюейт Мениджмънт Адмишън Кансъл”– “ГМАК” (“GraduateManagementAdmissionCouncil” –“GMAC”), който е администратор на данните.

Съгласно Директива № 95/46/EО на Европейския парламент и на Съвета трансфер на лични данни в трети страни може да бъде осъществен, само ако въпросната трета държава предоставя адекватно ниво на защита на данните.

Предоставянето на лични данни от администратор, установен на територията на Република България към друг администратор на лични данни извън страната, се извършва по реда на Закона за защита на личните данни, като определящ критерий относно режима на трансфер на данни е държавата, в която ще бъдат предоставени данните.

Предвид факта, че първият получател на данните “Пиърсън Вю”, дружество част от корпорацията“Ен Си Ес Пиърсън Инк., със седалище в САЩ е в списъка на дружествата, които се придържат към принципите за предоставяне на адекватно ниво на защита на личните данни, прехвърляни от страни – членки на Европейския съюз към получатели в САЩ (т.нар. „Безопасно пристанище” – SafeHarbor)и при отчитане на решение на Европейската комисия № 2000/520/ЕО от 26.07.2000г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот” и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ, в конкретния случай са изпълнени условията за адекватно ниво на защита в третата държава. На основание чл. 36а, ал. 4, т. 1 от ЗЗЛД, КЗЛД не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита.

Относно втория получател на данните, а именно: -“Градюейт Мениджмънт Адмишън Кансъл”– “ГМАК”, неправителствена организация в САЩ, е видно че притежава и администрира теста –“GMAТ”, съгласно приложените документи и провеждаПолитика на конфиденциалност,по отношение на личните данни на кандидатите за тест –“GMAТ”, която е задължителна, както за неговия местен представител за Република България на теста – “Ай Ти Си И” ООД, така и за обработващия данните за целия свят – “Пиърсън Вю” . В допълнение, по отношение на предоставянето на данните, е налице изрично информирано съгласие от страна на физическите лица-кандидати за теста, чиито данни ще бъдат предмет на трансфер. Наличието на съгласие е самостоятелно основание за разрешаване на трансфера, съгласно чл.36а, ал.6, т.1от ЗЗЛД.

На проведеното заседание на КЗЛД на 16.12.2010г. г-жа Мария Матева – член на Комисията за защита на личните данни изрази становище, че не е необходимо предоставяне на биометрични данни, тъй като сравняването на резултатите от изпита със съответните биометрични данни на лицата става на мястото на провеждане на изпита “GMAТ” ипредоставянето само на резултатите от изпита ще постигне целения отнего ефект.

Във връзка с горното и на основание с чл. 36а, ал. 4, т.1 и на чл.36а, ал.6, т.1 от Закона за защита на личните данни във връзка с чл. 52, ал. 1 от Правилника за дейността на КЗЛД и на нейната администрация, Комисията за защита на личните данни,

Разрешава на администратора на лични данни „Ай Ти Си И" ООД, да предостави сканирано папиларно изображение на дланта (биометрични данни) на физически лица – кандидати за теста “GMAT” на следните получатели на територията на трета държава САЩ : неправителствена организация“Градюейт Мениджмънт Адмишън Кансъл”– “ГМАК” (“GraduateManagementAdmissionCouncil” –“GMAC”), САЩ, в качеството му на администратор на данните и на дружество -“Пиърсън Вю”(„PearsonVUE”), дъщерно дружество на корпорацията “Ен Си Ес Пиърсън Инк. (“NCSPearsonInc.”), САЩ”, в качеството му на обработващ данните,за срока на действие на Договора за местно представителство (Република България).

Решението на Комисията може да се обжалва пред Върховния административен съд в 14 (четиринадесет) дневен срок от получаването му.